Und was hast Du gegen die beste Loesung? "better be safe than sorry"!
Der Paketfilter und sein Regelwerk erhoehen die Komplexitaet. Ob die noch
weiterlaufenden Dienste WIRKLICH geschuetzt sind resp. ob der Zuwachs an
Angriffsflaeche wegen des hbpf die (nicht garantierte) Abnahme selbiger
bei den Diensten aufwiegt wirst Du in jedem Einzelfall evaluieren muessen.

Betrachte den typischen *x-basierten DSL-SOHO-Modem/Router/Firewall (ja,
das ist kein hbpf; doch, das ist einer, nur laeuft der halt am Perimeter)
und die dort oft vorhandenen Schwachstellen, u.a. dass Pakete eben doch
von aussen nach innen gelagen.
Otto Normal fuehlt sich mit sowas dennoch sicher und verzichtet dahinter
auf weitere Schutzmassnahmen: single point of failure.

Ich gehe im Folgenden mal davon aus, dass Otto Normal auf dem/den Rechnern
dahinter u.a. Windows XP mit dessen Firewall in Standardeinstellung nutzt:
dann ist diese durchlaessig fuer Verkehr aus dem eigenen Subnetz, d.h. die
weiterlaufenden Dienste sind fuer die vom Router genatteten Pakete erreichbar.
Ebenso sind sie erreichbar von einem infizierten Notebook, das ein Bekannter
anschliesst, und das vom DHCP-Server die richtige Adresse bekommt. Autsch!

Soll ich das selbe Szenario z.B. fuer SuSE und dessen Firewall beschreiben?
Die ist fuer's eigene Subnetz ebenfalls offen, aber die Daemonen dahinter
laufen nicht aus-der-Box.
Irgendwer schrieb in diesem Fred, Susi will doch nur ein bisschen Spass
haben am Geraet. Das setze ich durchaus mit dem Spass haben und Spieltrieb
befriedigen des Asterisk-Testers gleich.
Ein Computer ist ein technisches Geraet, von dem eine Gefaehrdung
ausgehen kann. Diese hat der Betreiber gefaelligst zu minimieren!

Stefan
[

Streng nach den mathematischen Regeln der Kombinatorik fuehre ich mal
alle Permutationen auf, und sortiere bereits nach der Reihenfolge der
groessten Angrissflaeche (absteigend, Grosse Angriffsflaeche zuerst:)

1. Rechner mit aktivierten nativen Diensten ohne hostbasierten Paketfilter
2. Rechner mit aktivierten nativen Diensten mit hostbasiertem Paketfilter
3. Rechner ohne aktivierten nativen Diensten mit hostbasiertem Paketfilter
4. Rechner ohne aktivierten nativen Diensten ohne hostbasiertem Paketfilter

Position 4 hat die geringstmoegliche Angriffsflaeche.

Warum schlaegst du also die unguenstige Position 2 vor, die gerade
einmal die zweitgroesste Angriffsflaeche besitzt?

Juergen

Ein kaputter IP-Stack ist kaputt, egal ob ein Paketfilter läuft oder
nicht läuft, bzw. ob ein Dienst läuft oder nicht läuft. Und Du kannst
immer noch nicht drauf verzichten, wenn Du IP haben willst.
Dein Szenario ist "wenn der Paketfilter keine Lücke hat". Diese Annahme
ist optimistisch.

cu
59cobalt

Ich habe mich wohl ungenau ausgedrückt. Niemand kann $ONU dazu zwingen,
fachkundige Hilfe einzuholen, was seinen PC betrifft. Genauso wenig, wie
man einem Typen mit zwei linken Händen verbieten kann, eine Bohrmaschine
zu kaufen und damit den Unsinn anzustellen.

Und erwarten würde ich beides schon gar nicht.

ciao Ralph

Das Java-Applet und der in diesem realisierte Dienst laufen unter dem eh
schon kompromittierten Benutzerkonto.
Die anderen Dienste dagegen laufen typischerweise mit erhoehten Rechten.
Nur wenn sie nicht laufen sind sie nicht angreifbar, egal ob mit oder ohne
hbpf. Daher schaltet man sie ab.

Stefan
[

Nein, denn es ist wirres Zeug.
Doch, klar und deutlich. Ein Standardpaketfilter kann über einen
semiaktiven Angruff ausgehebelt werden, was den Zugriff auf verwundbare
Dienste hinter jenem Paketfilter ermöglicht. Punkt.

Die Logs meines FTP-NAT-Tests weisen das eindeutig nach. Allerdings in
der Regel für Maschinen hinter NAT. Ich guck mal eben nach, ob es schon
jemand ohne NAT ausprobiert hat ... na also:


2006-11-06 19:22:22 Local port 85.179.29.xxx:80 open via 85.179.29.xxx:80
2006-11-07 12:43:47 Local port 194.xxx.xxx.xxx:111 open via 194.xxx.xxx.xxx:111

Und letzteres ist auch kein false Positive von einem ohnehin
ungeschützten System. Ich hab den dank fester IP (daher die xxx) nochmal
gegengeprüft: per direkter Verbindung komme ich nicht auf die 111, sehr
wohl aber auf die (vermutlich absichtlich nach außen angebotene) 22.
man Sandbox.

Es ist scheißegal, ob in einer solchigen böser Code ausgeführt wird, das
ist Sinn einer Sandbox. Und Java-Applets sind nunmal Code aus unsicherer
Quelle. Man kann das Problem lösen, indem man Applets und Plugins
verbietet. Das ist aber für die Zielgruppe nicht akzeptabel.
Nein, ich werfe Dir vor, eine Technik zu propagieren, die in diesem
Szenario dem Abschalten von Diensten unterlegen ist. Mit abgeschalteten
Diensten passiert nicht. Mit Paketfilter, der nicht speziell für die
Situation angepaßt ist, schon.
Nein. Nicht außerhalb der Sandbox. Das heißt mit Userrechten und mit
eingeschränktem Schadpotential. Maximal kann man ein bisschen
Rechenleistung abzocken.


Man kann mit Hilfe des Applets auf einen _beliebigen_ laufenden Dienst
konnektieren.


Szenario:

Normaler PC, zur üblichen Internetnutzung, also mit Browser und
Java-Plugin oder Flash oder ähnlicher clientside-Sprache, die in
einer Sandbox abläuft.

Wenn das schon nicht zur Diskussion steht, kannst Du hier aufhören zu
lesen, und Dich in einen Elfenbeinturm Deiner Wahl verkriechen.


Nehmen wir weiter an, einer der Dienste, den die Installation dieses PCs
normalerweise anbieten würde, sei verwundbar für eine Remote-Root-Lücke.

Wenn keiner der möglicherweise vorhandenen Dienste eine Lücke haben
darf, braucht man die ja weder abzuschalten, noch per Paketfilter
abzudecken.


So - jetzt die Varianten

A) Man hängt das so ans Internet. => Rechner ist remote aufknackbar.
Nach dem Dienst scannen, Exploitcode schicken, Root sein.

B) Die Dienste - darunter auch der mit der Lücke - werden abgeschaltet.
Damit ist sichergestellt, daß die Lücke nicht mehr ausgenutzt werden
kann.

C) Die Dienste - darunter auch der mit der Lücke - laufen weiter, und
eine "normale" Firewallkonfiguration, d.h. alles outbound erlaubt,
plus "established/related" mit allen relevanten Tracking-Helpern
um volle Funktionalität zu erhalten, wird zum Schutz eingesetzt.

In diesem Fall ist ein direktes Ausnutzen wie unter A) nicht mehr
möglich.

Kann ich nun den Nutzer aber dazu bewegen, eine ganz normale
Internetseite zu besuchen (mit Nutzerrechten, aktuellem Browser,
keine Sicherheitslücken in Browser oder Plugins), dann kann ich
in diese Seite ein Applet integrieren.

An sich ist ein Applet ja nichts böses. Es läuft mit Userrechten und
in einer Sandbox. es darf nicht auf die Platte schreiben, usw. usw.

Dieses hier ist aber böse. Es verhält sich wie ein FTP-Client.
Es verbindet zurück zu seinem Server (ist im Sandbox-Modell erlaubt)
auf Port 21 und tauscht mit dem Server ganz normale
FTP-Protokollnachrichten aus.

Diese werden _korrekt_ vom Paketfilter interpretiert und der
Paketfilter öffnet den Weg für eine hereinkommende
FTP-Data-Verbindung.

Da sich diese Verbindung auf einen _beliebigen_ Port leiten läßt,
kann ich damit den Dienst mit der Lücke angreifen. => remote root.

Das Applet selbst kann das _nicht_ - das wäre eine Verletzung der
Sandbox-Regeln, was zum Abbruch des Applet führen würde.

Angriff also: User auf die Seite locken, warten daß das Applet
anläuft, zum Dienst konnektieren, Exploitcode schicken, Root sein.

Mit dem Applet alleine kann man _nicht_ Root werden. Egal welches
Applet ich schicke.


Folgerung: Es gibt eine Situation, die bei einem für übliche Aufgaben
konfigurierten PC gut vorstellbar ist, in der ein verwundbarer Dienst
durch eine Standard-Firewall hindurch angreifbar ist.


Es gibt viele Möglichkeiten, diese Situation zu vermeiden:
- keine clientside-Sprachen einsetzen. Bzw. gar keine Plugins, die
ähnliche Effekte haben könnten. Streaming Video könnte man evtl.
auch benutzen.
- alle problematischen related-Helper abschalten.
- keine related-Regeln verwenden.
- die Firewallkonfiguration speziell gestalten, um den Zugriff auf
die relevaten Dienste explizit zu verbieten, bevor related-regeln
greifen.

Die ersten 3 Regeln bedeuten Funktionalitätseinschränkungen,
die letzte bedeutet, daß man eine nichttriviale Firewallkonfiguration
hinkriegen muß.


Ergo: Dienste abschalten ist der sicherere Zustand. Er erlaubt zumindest
diesen Angriff nicht, und man muß keine Funktionalitätseinschränkungen
hinnehmen.

Alternativ kann man die Firewall speziell so konfigurieren, daß die noch
laufenden Dienste explizit geschützt werden. Der Aufwand, das richtig
hinzukriegen ist in etwa vergleichbar mit dem, die Dienste abzuschalten.


=> Wenn man die Dienste abschalten kann, ist das die sicherste Methode.

Kann man das nicht, ist die nächstsicherere Methode, die Dienste nur ans
interne Interface zu binden. Dann sind sie auch nicht von außen zu
erreichen.

Kann man das auch nicht, muß man sich genaue Gedanken machen, wie man die
Firewall konfiguriert, damit sie die verbleibenden Dienste wirkungsvoll
schützt. Ich tue das in der Regel durch Verzicht auf Protokolle, die
inbound related Verbindungen annehmen müssen.

Will man das nicht, kann man versuchen, die übrigen Dienste explizit
abzudichten. Das kann auch nervig sein, wenn die z.B. via Portmapper auf
dynamischen Ports rumhopsen.
Welche? Das Laufenlassen eines Applets ist kein Angriff.

Das Untertunneln des Paketfilters mit Hilfe der related-helper ist einer.
Er unterläuft das Sicherheitslayer Paketfilter unter üblichen
Randbedingungen.

Der Angriff ist weniger massentauglich wie der direkte Portscan nach
offenen Ports, aber er ist problemlos machbar.
Siehe oben. Das Abschalten lokaler Dienste hilft. Der Dienst, der nicht
zur Verfügung steht, kann nicht angegriffen werden.

Der Dienst, der vom Paketfilter verdeckt wird, kann angegriffen werden,
wenn nicht spezielle Maßnahmen im Paketfilter getroffen werden, um das
zu vermeiden. Diese Maßnahmen sind spezifisch für die betreffende
Rechnerkonfiguration und werden von üblichen Paketfilterkonfigurationen
nicht per Voreinstellung getroffen.
Das ist egal. Es ist in einer Sandbox. Mit Hilfe des Applets wird man
nicht root. Mit einem verwundbaren Dienst schon.
Meine auch. Dienst nicht da => ich kann nicht an ihn konnektieren => ich
kann die Sicherheitslücke darin nicht ausnutzen.

Das Applet kann den Dienst nicht starten und was es selbst zur Verfügung
stellt, läuft in der Sandbox.
Ich konnte es mir nicht verkneifen ... irgendwie hab ich doch die
Hoffnung, daß Du doch nicht nur trollst, sondern wirklich Probleme hast,
das Beispiel zu verstehen.

Wenn's jetzt nicht klar ist, weiß ich aber auch nicht mehr weiter.
Der geneigte Leser wird es hoffentlich nachvollziehen können, dann ist
ja auch kein Schaden entstanden.


CU, Andy

BTW: break; ...

Sag mal, du hat nichts von dem verstananden, auf das du hier so
fleissig Antwortest?
Szenario: Angreifer hat Kontrolle ueber einen FTP-Server, der vom
Benutzer benutzt wird. Der FTP-Server bringt den Client - z.B. durch
Platzierung innerhalb des Verzeichnisnamens - den Text "PORT 192,168,
0,2,0,445" an einer TCP-PAketgrenze zu senden. Schon kann der
FTP-Server einfach auf die Windows-Freigaben (Laufwerke, RPC)
zugreifen, durch die Supertolle Firewall hindurch, die bei deinem
Konzept *einziger* Schutz ist.

Bei meinem Sicherheitskonzept fuer Windowsclients wird der eingehende
Connect auf Port 445 des Windowsrechners vom TCP/IP Stack mit einem
banalen TCP Reset quittiert, weil der Dienst erst garnicht laeuft.

So, und jetzt erzaehl mal, welches Konzept besser schuetzt.
Du waerst ein Idiot, wenn du nicht verstehen koenntest, das ein
Paketfilter keine "Disnste" sondern nur Pakete anhand von "Portnummern"
filtern.

Und FTP-"enabled" Paketfilter oeffnen dynamisch Ports, deren Nummern
vom Client sowie vom Server (also intern wie extern) vorgegeben werden.

Achja, falls du obiges Szenario fuer Esotherisch oder Unwahrscheinlich
haelst, so muss ich dich Entteuschen: Genau dieser Angriff wurde schon
1999 beobachtet (damals ging es um das Aushebeln von NAT-Geraeten).
Der (durchaus nicht unbeliebtge) FTP-Server in einem Fall wurde vom
Angreifer kompromittiert, die FTP-URL wurde per IRC in einschlaegigen
Channels verbreitet, um moeglichst viele Benutzer in die Praeparierten
Verzeichnisse zu locken (was wiederum zur schnellen Erkennung fuehrte).

Funktioniert hat der Angriff aber. Und bei den DAUs heute wuerde er
genau so wieder Funktoinieren. Trotz toller Firewalls auf dem Host und
am Perimerter. Ok: Ausnahme sind namentlich die Paketfilterprodukte
Firewall-1 von Check Point sowie NetScreen von Juniper, sowie nach
eigenen Angaben PIX von Cisco (nicht verifiziert), die FTP im
Speziellen deutlich genauer unter die Lupe nehmen, und solch einfachen
Angriffe erkennen koennen. Dazu ist jedoch praktisch die
Implementierung eines transparenten FTP-ALGs notwendig, was im Falle
von Firewall-1 und NetScreen auch genau der Fall ist.

Aber schon Linux Netfilter mit dem FTP-Helpermodul ist nicht
vollstaendig und ausreichend gegen diese Sorte Angriff gefeit, da es
ohne Applikationsprotokoll-Kontext arbeitet. Mickeysoft ISA ist selbst
gegen dumme Angriffe (FTP Kommandos in Antworten von Quellport 21 in
anderen Protokollen) verwundbar, die meisten Personal Firewalls fuer
Wintendo ebenso.

Du kannst jetzt weiterhin die Finger in die Ohren stecken und
Lalalalala laut vor dir her singen, oder Verstehen warum deine
Argumentation fehlerhaft ist.

Juergen